OPNsense Multi WAN
| Hinweis: Bitte beachten Sie, dass dieser Artikel / diese Kategorie sich entweder auf ältere Software/Hardware Komponenten bezieht oder aus sonstigen Gründen nicht mehr gewartet wird. Diese Seite wird nicht mehr aktualisiert und ist rein zu Referenzzwecken noch hier im Archiv abrufbar. |
|---|
Mit einer OPNsense Firewall können mehrere Internetverbindungen (WAN-Verbindungen) parallel verwendet werden. Diese können in einem Failover- oder Load-Balancing-Modus, sowie in einer Kombination aus beiden konfiguriert werden. In diesem Artikel zeigen wir, wie Sie eine herkömmliche Netzwerk-gebundene Internetanbindung mit einer LTE-basierten drahtlosen Internetanbindung in einem Failover-Betrieb einrichten.

Wichtiger Hinweis: Diese Anleitung dient zur historischen Referenz, interne LTE Modems werden von OPNsense mittlerweile nicht mehr gut untestützt. Wir empfehlen die Verwendung von externen LTE/5G Gateways.
Failover
Für einen WAN-Failover-Betrieb sind zumindest zwei WAN-Anbindungen erforderlich.
2 WAN Verbindungen ohne IPv6
Da im Beispiel die beiden WAN-Anbindungen kein IPv6 unterstützen, entfernen wir zuerst IPv6 auf der bestehenden ersten Verbindung:
Für die zweite WAN-Verbindung verwenden wir eine drahtlose LTE Verbindung. Dazu muss zuerst das Modem entsprechend konfiguriert werden:
Anschließend wird die zweite WAN Verbindung entsprechend konfiguriert:
-
Unter Interfaces -> Assingments das zuvor erstellte ppp0 Interface wählen.
-
Auf das Plus-Symbol klicken.
-
Auf OPT1 klicken.
-
Als Beschreibung WAN2 anführen.
-
Auf Save klicken.
-
Auf Apply changes klicken.
-
Im Dashboard sind nun beide WAN Verbindungen zu sehen.
Monitor IPs
Zur Überwachung der beiden WAN-Verbindungen müssen entsprechende Monitoring IPs konfiguriert werden. In diesem Beispiel verwenden wir dazu die öffentlich zugänglichen DNS Server 8.8.8.8[1] und 9.9.9.9:[2][3]
-
Unter System -> Gateways -> Single beim ersten Gateway auf Edit klicken.
-
Die Einstellungen wie in der Abbildung wählen und speichern.
-
Beim zweiten Gateway auf Edit klicken.
-
Die Einstellungen wie in der Abbildung wählen und speichern.
-
Auf Apply changes klicken.
-
Die Änderungen wurden übernommen.
Gateway Gruppe
-
Unter System -> Gateways -> Group auf Add group klicken.
-
Die Einstellungen wie in der Abbildung wählen.
-
Auf Save klicken.
-
Auf Apply changes klicken.
-
Die Änderungen wurden übernommen.
DNS je Gateway
-
Unter System -> Settings -> General die DNS Server wie gezeigt hinterlegen.
Policy-basiertes Routing
-
Unter Firewall -> Rules -> LAN bei der IPv4 Regel auf Edit klicken.
-
Als Gateway hier WANGWGROUP auswählen.
-
Auf Save klicken.
-
Auf Apply changes klicken.
-
Die Änderung wurde übernommen.
Firewall-Regel für DNS
-
Unter Firewall -> Rules -> LAN bei der IPv4 Regel auf Add new rule klicken.
-
Die Einstellungen wie in der Abbildung wählen.
-
Die Einstellungen wie in der Abbildung wählen.
-
Die Checkbox bei der neuen Regel aktivieren und bei der IPv4 Regel auf move ... klicken.
-
Auf Apply changes klicken.
-
Die Änderung wurde übernommen.
Ausfalltest
-
Vor dem Ausfalltest können bei den Gateways die Schwellwerte bei Bedarf angepasst werden.
-
Schwellwerte (1/2).
-
Schwellwerte (2/2).
-
Im Backbone der ersten WAN-Verbindung ist ein Ausfall aufgetreten. Obwohl der Link auf der Firewall noch up ist, erkennt OPNsense den Ausfall.
-
Nach kurzer Zeit wir der Packet Loss mit 100% angezeigt. Der Traffic wird nun über die zweite WAN Verbindung geleitet.
-
Unter System -> Gateways -> Logs ist der Ausfall dokumentiert.
-
Nachdem die erste WAN Verbindung wieder verfügbar ist, geht der Traffic wieder über diese Verbindung.
Load Balancing


Load balancing kann verwendet werden, um die Auslastung des Internet-Verkehrs auf zwei oder mehrere ISPs aufzuteilen. Das erhöht in Summe die verfügbare Internetbandbreite.
Für ein solches Setup führen Sie die folgenden Konfigurationsschritte durch:
- Teilen Sie den Internetverkehr auf, indem Sie für mehrere Verbindungen der selbe Tier auswählen (siehe Screenshots im Abschnitt Gateway Gruppe).
- Damit nachfolgende Pakete einer bestehenden Verbindung über dieselbe WAN Anbindung ins Internet geroutet werden, aktivieren Sie die Option Sticky Connections unter Firewall -> Settings -> Advanced. Bei Bedarf können Sie darüber hinaus noch einen zusätzlichen Source Tracking Timeout stellen, damit auch nach dem Ende einer Verbindung für eine bestimmte Zeit Pakete zur gleichen Ziel-IP-Adresse noch weiterhin über dieselbe WAN Anbindung geroutet werden.
- Falls die WAN Anbindungen über unterschiedliche Bandbreiten verfügen, können Sie die Gewichtung der jeweiligen Gateways anpassen. Verfügt die erste WAN Anbindung z.B. über 10 MBit Bandbreite und die zweite WAN Anbindung über 20 MBit, setzen Sie die Gewichtung (Weight) des ersten Gateways auf 1, und des zweiten Gateways auf 2. Die Einstellungen können Sie für die beiden Gateways unter System -> Gateways -> Single vornehmen, indem Sie bei jedem Gateway auf das Bleistift Symbol klicken und anschließend unter den Advanced Options den Wert für Weight anpassen.
Hinweise
- Automatisch generierte reply-to Regeln: Um sicherzustellen, dass Antwortpakete über dieselbe WAN-Verbindung wie die eingehenden Pakete gesendet werden, verwendet OPNsense automatisch generierte reply-to Regeln. Eine Kommunikation mit anderen Rechnern (außer dem Standard-Gateway), die sich direkt im selben IP-Netzwerk (Layer-2-Netzwerk) befinden, ist daher nicht möglich (siehe OPNsense von Rechner im Layer 2 WAN Netzwerk ansprechen). Da auf der WAN-Seite meist Punkt-zu-Punkt-Verbindungen verwendet werden, ist dies nur selten eine Einschränkung.
- Multi WAN mit 2 DHCP WAN Schnittstellen: Beim Einsatz von zwei WAN Schnittstellen, die jeweils als DHCP Client IP Adressen beziehen, muss bis OPNsense 20.1.* ein Patch via
opnsense-patch 0e2751deingespielt werden. OPNsense ab Version 20.7.b (Beta-Version von OPNsense 20.7) enthält diesen Patch bereits.[4][5]
Weitere Informationen
- Multi WAN (docs.opnsense.org)
Einzelnacheise
- ↑ Google Public DNS (en.wikipedia.org)
- ↑ Quad9 (en.wikipedia.org)
- ↑ Quad9 DNS (www.quad9.net)
- ↑ Multi WAN with 2 DHCP WAN interfaces not working properly #3961 (github.com/opnsense/core/issues)
- ↑ OPNsense 20.7.b Release (github.com/opnsense/core) enthält rc.linkup: filter_configure() needs to be called after stop/start dev… 0e2751d
|
Autor: Werner Fischer Werner Fischer arbeitet im Product Management Team von Thomas-Krenn. Er evaluiert dabei neueste Technologien und teilt sein Wissen in Fachartikeln, bei Konferenzen und im Thomas-Krenn Wiki. Bereits 2005 - ein Jahr nach seinem Abschluss des Studiums zu Computer- und Mediensicherheit an der FH Hagenberg - heuerte er beim bayerischen Server-Hersteller an. Als Öffi-Fan nutzt er gerne Bus & Bahn und genießt seinen morgendlichen Spaziergang ins Büro. |

